论文部分内容阅读
2003年最后一个震惊世界的病毒——“冲击波”的发作使人们将注意力又转移到Windows系统的安全性上。每一家杀毒厂商都在大声告诉人们冲击波病毒来啦,赶快升级杀毒软件的病毒库吧。微软忙做出委屈状:我的安全公告早就告诉大家了,为什么世界上还有超过50%的用户没有安装补丁呢?用户更是迷茫,我买了软件是为了用,凭什么还要我去应对这么复杂的操作,又是打补丁,又是安装杀毒软件的!好不容易打了一次补丁吧,还不够,因为下次的病毒又瞄准了别的漏洞。
缘何漏洞、补丁多?
随着软件复杂程度提高,代码错误量也随之增长,虽然有很多工具和方法来帮助开发者减少错误量,但效果并不理想。
不可否认的是,经过这么多年的发展,软件开发体系仍然不够成熟。现在软件开发有了很多的方法可以做需求定义、模块交互、代码重用、测试等,问题是:这些方法对计算机有什么用处?计算机有CPU、BIOS、存储设备、显示卡、网卡、主板等硬件设备,有操作系统、驱动、防病毒软件、个人防火墙、其他各种各样的第三方应用程序。您的计算机上能列举出数百种不同组织提供的硬件和软件,他们都共存于一台计算机上,因此,每台计算机都是一个特殊的平台。而许多应用程序必须运行在这些平台上。
焦点便在此:不同的用户群使用不同的风格、方法、工具生成了这些代码,而当您把这些不同的软件放到一起工作时,因为有这极大的变数,变化结果不可预测。于是产生了Bug,而当软件团队修正Bug时,他们基于的环境相对用户的千千万万复杂环境来说,又太单纯了,不可能把用户的环境都模拟测试一遍。
如果我们回到最初的规则──当软件变得日益复杂时,代码中错误的数量会随着增加,这也意味着随着补丁的不断增加,软件中潜在的Bug将随之增多。另外,补丁的制作和开发过程也存在问题,为了保证及时性,补丁的开发和测试的工作是否完善非常值得怀疑,因此,随着补丁的分发,变数增多了。
显而易见,发布的补丁程序是软件代码中的一个子集,补丁程序可以是修正一个Bug,提高一些安全性,也可能是把软件的版本升级,增加新的功能。现在,补丁程序变成专门解决程序出现的安全问题了。这都是微软惹的祸,现在人们一提到补丁程序就会想到安全问题。
以前,为已经存在的Bug发布补丁是非常痛苦的工作,要通过物理介质送到用户手中,例如软盘、光盘等。更多情况下还要派出售后工程师上门服务,耗费了厂商大量的人力物力。但是现在随着互联网的普及,补丁发放变得非常高效。厂商可以给用户在线升级,用户也能第一时间内安装补丁。
我们怎么面对?
说微软的产品安全性太差有点冤枉微软了。自从微软产品的安全性被人诟病后,有报道说微软开始花费大力气做代码审查,以消除隐患。然而软件Bug是查不完的。
1.个人用户接招儿
无论产品的安全性如何,微软的在线补丁更新体系的建设是非常完善的。在Windows XP及以后版本的操作系统中,微软更是使用了在线更新技术,只要用户打开在线更新选项,并保持和Internet的连接,用户的计算机就能够在第一时间自动下载最新的补丁,解决了非专业用户不能及时打补丁的问题。方法如下:
打开“自动更新”功能,点击“开始”*“控制面板”*“系统”,也可以在“我的电脑”图标上用右键点击,选择“属性”项,即可出现图1所示的菜单。选中“保持我的计算机最新”的选择框,即可启用自动更新功能,此功能还能选择定时更新或下载更新前通知用户,由用户选择是否更新。
微软的Windows更新很快,这里微软也做了考虑,只有严重影响用户使用的关键更新才会在自动更新中下载安装,而其他不严重的补丁可由用户自己选择是否安装了:点击“开始” *“程序” *“Windows update”,可以查看到用户机器上需要安装哪些补丁,补丁分为3种:关键更新和Service pack、Windows XP驱动程序更新。Service pack是Windows的补丁包,补丁积累到一定程度后,微软就会给出Service pack,并编号叫Sp1、Sp2等,方便用户安装。Windows NT操作系统最后出到了Sp6、Windows 2000系统现在也出到Sp4,而Windows xp也已经出Sp1了。其他2种补丁属于锦上添花型,用户可以选择定制安装。
2.企业用户密诀
对网管员这样的专业人士来说,这样的信息显然不够,例如发生了“冲击波”病毒后,他需要了解更深入的内容。例如冲击波病毒是由那个漏洞引起的?这个漏洞的危害性到底有多大?因为不是所有版本的操作系统都有自动更新功能,而且网络中很多机器可能没有连接到互联网,因此网络管理员还应该知道漏洞对那些版本的操作系统有什么影响?相对应的补丁到哪里找?这样他可以及时对需要打补丁的机器升级补丁程序。待了解了漏洞的一些详细信息和特征后,当网络再次出现故障后,网管员就可以判断该故障是否是由漏洞引起的。
这里介绍几个专业的漏洞网站。
微软的网站上发布安全公告的页面网址为:http://www.microsoft.com/security/security bulletins/,在这个页面上,按时间顺序列举了微软发布的安全公告,在每个公告中都有关于漏洞和补丁的详细描述。
还有3个著名的漏洞和补丁发布站点。Securityfocus网站的漏洞库名称为Bugtraq,它给每个漏洞编号叫Bugtraq ID。它的网址为:http://www.securityfocus.com/bid。
Cert是美国国防部建立的组织,位于卡内基梅隆大学的软件工程学院,它也是权威的网络安全漏洞报告站点,它的网址为:http://www.cert.org/advisories/。在这个网站上,用户还可以查到它发布的安全公告。
Cve是和Bugtraq齐名的漏洞库,它给漏洞库编号叫CVE ID,它的网址为:http://cve.mitre.org/。
在国内,绿盟科技公司做漏洞库跟踪收集工作也坚持了很长时间,它的漏洞库对网管来说有个好处,是中文的,理解消化起来要方便得多。它的网址为:http://www.nsfocus.com。
3.实例演习
下面,我们以“冲击波”病毒涉及的漏洞和补丁为例,说明如何更深入地查询漏洞信息。首先我们看到“冲击波”病毒要打的补丁中提到RPC漏洞,对应的微软安全公告是MS03-039。因此我们首先查看MS03-039的安全公告信息。在公告中我们可以看到受影响的操作系统、漏洞的描述和补丁下载地址等。同时,我们在上面推荐的4个网址中用RPC关键字搜索安全公告。其实不用搜索,作为新的漏洞,在每个网站的显著位置都会显示相关的连接。图2是Cert为这个RPC漏洞出的安全公告,公告号为CA-2003-23。事实上,每个网站公告的内容都大同小异,但如果一个漏洞在这些网站中都被重点突出介绍,那么这个漏洞的严重性就值得您警惕了。
其他操作系统,例如Linux、Unix也常常有漏洞被发现。对这些操作系统漏洞的修补没有像Windows自动更新那么简洁方便。用户应该常常去上面介绍的这些漏洞发布网站去看看相关漏洞的情况。而操作系统发行商的站点也会有安全公告的页面,就像微软站点上的安全公告区一样。例如,著名的Redhat linux站点上的安全公告页面的地址为:http://www.redhat.com/solutions/security/。
2003年9月,在*nix的世界里也出现了一个严重的漏洞:Openssh的溢出漏洞。Openssh是远程终端登录软件,运行在*nix上。几乎所有的*nix发行版本都把这个软件作为缺省安装。因此这个软件出现溢出漏洞影响了几乎所有的*nix操作系统。Redhat linux描述此漏洞的页面网址是:http://rhn.redhat.com/errata/RHSA-2003-279.html。
无论哪种类型的操作系统,存在漏洞都是不可避免的,只是被发现的时间早晚问题。作为使用者,我们能做的只有密切关注漏洞的发布情况,并及时打安全补丁,才能保证自己所管理的网络不被黑客利用已经发现的漏洞攻击。(作者地址:东北财经大学图书馆,116023)
缘何漏洞、补丁多?
随着软件复杂程度提高,代码错误量也随之增长,虽然有很多工具和方法来帮助开发者减少错误量,但效果并不理想。
不可否认的是,经过这么多年的发展,软件开发体系仍然不够成熟。现在软件开发有了很多的方法可以做需求定义、模块交互、代码重用、测试等,问题是:这些方法对计算机有什么用处?计算机有CPU、BIOS、存储设备、显示卡、网卡、主板等硬件设备,有操作系统、驱动、防病毒软件、个人防火墙、其他各种各样的第三方应用程序。您的计算机上能列举出数百种不同组织提供的硬件和软件,他们都共存于一台计算机上,因此,每台计算机都是一个特殊的平台。而许多应用程序必须运行在这些平台上。
焦点便在此:不同的用户群使用不同的风格、方法、工具生成了这些代码,而当您把这些不同的软件放到一起工作时,因为有这极大的变数,变化结果不可预测。于是产生了Bug,而当软件团队修正Bug时,他们基于的环境相对用户的千千万万复杂环境来说,又太单纯了,不可能把用户的环境都模拟测试一遍。
如果我们回到最初的规则──当软件变得日益复杂时,代码中错误的数量会随着增加,这也意味着随着补丁的不断增加,软件中潜在的Bug将随之增多。另外,补丁的制作和开发过程也存在问题,为了保证及时性,补丁的开发和测试的工作是否完善非常值得怀疑,因此,随着补丁的分发,变数增多了。
显而易见,发布的补丁程序是软件代码中的一个子集,补丁程序可以是修正一个Bug,提高一些安全性,也可能是把软件的版本升级,增加新的功能。现在,补丁程序变成专门解决程序出现的安全问题了。这都是微软惹的祸,现在人们一提到补丁程序就会想到安全问题。
以前,为已经存在的Bug发布补丁是非常痛苦的工作,要通过物理介质送到用户手中,例如软盘、光盘等。更多情况下还要派出售后工程师上门服务,耗费了厂商大量的人力物力。但是现在随着互联网的普及,补丁发放变得非常高效。厂商可以给用户在线升级,用户也能第一时间内安装补丁。
我们怎么面对?
说微软的产品安全性太差有点冤枉微软了。自从微软产品的安全性被人诟病后,有报道说微软开始花费大力气做代码审查,以消除隐患。然而软件Bug是查不完的。
1.个人用户接招儿
无论产品的安全性如何,微软的在线补丁更新体系的建设是非常完善的。在Windows XP及以后版本的操作系统中,微软更是使用了在线更新技术,只要用户打开在线更新选项,并保持和Internet的连接,用户的计算机就能够在第一时间自动下载最新的补丁,解决了非专业用户不能及时打补丁的问题。方法如下:
打开“自动更新”功能,点击“开始”*“控制面板”*“系统”,也可以在“我的电脑”图标上用右键点击,选择“属性”项,即可出现图1所示的菜单。选中“保持我的计算机最新”的选择框,即可启用自动更新功能,此功能还能选择定时更新或下载更新前通知用户,由用户选择是否更新。
微软的Windows更新很快,这里微软也做了考虑,只有严重影响用户使用的关键更新才会在自动更新中下载安装,而其他不严重的补丁可由用户自己选择是否安装了:点击“开始” *“程序” *“Windows update”,可以查看到用户机器上需要安装哪些补丁,补丁分为3种:关键更新和Service pack、Windows XP驱动程序更新。Service pack是Windows的补丁包,补丁积累到一定程度后,微软就会给出Service pack,并编号叫Sp1、Sp2等,方便用户安装。Windows NT操作系统最后出到了Sp6、Windows 2000系统现在也出到Sp4,而Windows xp也已经出Sp1了。其他2种补丁属于锦上添花型,用户可以选择定制安装。
2.企业用户密诀
对网管员这样的专业人士来说,这样的信息显然不够,例如发生了“冲击波”病毒后,他需要了解更深入的内容。例如冲击波病毒是由那个漏洞引起的?这个漏洞的危害性到底有多大?因为不是所有版本的操作系统都有自动更新功能,而且网络中很多机器可能没有连接到互联网,因此网络管理员还应该知道漏洞对那些版本的操作系统有什么影响?相对应的补丁到哪里找?这样他可以及时对需要打补丁的机器升级补丁程序。待了解了漏洞的一些详细信息和特征后,当网络再次出现故障后,网管员就可以判断该故障是否是由漏洞引起的。
这里介绍几个专业的漏洞网站。
微软的网站上发布安全公告的页面网址为:http://www.microsoft.com/security/security bulletins/,在这个页面上,按时间顺序列举了微软发布的安全公告,在每个公告中都有关于漏洞和补丁的详细描述。
还有3个著名的漏洞和补丁发布站点。Securityfocus网站的漏洞库名称为Bugtraq,它给每个漏洞编号叫Bugtraq ID。它的网址为:http://www.securityfocus.com/bid。
Cert是美国国防部建立的组织,位于卡内基梅隆大学的软件工程学院,它也是权威的网络安全漏洞报告站点,它的网址为:http://www.cert.org/advisories/。在这个网站上,用户还可以查到它发布的安全公告。
Cve是和Bugtraq齐名的漏洞库,它给漏洞库编号叫CVE ID,它的网址为:http://cve.mitre.org/。
在国内,绿盟科技公司做漏洞库跟踪收集工作也坚持了很长时间,它的漏洞库对网管来说有个好处,是中文的,理解消化起来要方便得多。它的网址为:http://www.nsfocus.com。
3.实例演习
下面,我们以“冲击波”病毒涉及的漏洞和补丁为例,说明如何更深入地查询漏洞信息。首先我们看到“冲击波”病毒要打的补丁中提到RPC漏洞,对应的微软安全公告是MS03-039。因此我们首先查看MS03-039的安全公告信息。在公告中我们可以看到受影响的操作系统、漏洞的描述和补丁下载地址等。同时,我们在上面推荐的4个网址中用RPC关键字搜索安全公告。其实不用搜索,作为新的漏洞,在每个网站的显著位置都会显示相关的连接。图2是Cert为这个RPC漏洞出的安全公告,公告号为CA-2003-23。事实上,每个网站公告的内容都大同小异,但如果一个漏洞在这些网站中都被重点突出介绍,那么这个漏洞的严重性就值得您警惕了。
其他操作系统,例如Linux、Unix也常常有漏洞被发现。对这些操作系统漏洞的修补没有像Windows自动更新那么简洁方便。用户应该常常去上面介绍的这些漏洞发布网站去看看相关漏洞的情况。而操作系统发行商的站点也会有安全公告的页面,就像微软站点上的安全公告区一样。例如,著名的Redhat linux站点上的安全公告页面的地址为:http://www.redhat.com/solutions/security/。
2003年9月,在*nix的世界里也出现了一个严重的漏洞:Openssh的溢出漏洞。Openssh是远程终端登录软件,运行在*nix上。几乎所有的*nix发行版本都把这个软件作为缺省安装。因此这个软件出现溢出漏洞影响了几乎所有的*nix操作系统。Redhat linux描述此漏洞的页面网址是:http://rhn.redhat.com/errata/RHSA-2003-279.html。
无论哪种类型的操作系统,存在漏洞都是不可避免的,只是被发现的时间早晚问题。作为使用者,我们能做的只有密切关注漏洞的发布情况,并及时打安全补丁,才能保证自己所管理的网络不被黑客利用已经发现的漏洞攻击。(作者地址:东北财经大学图书馆,116023)